卡巴斯基實(shí)驗(yàn)室研究人員發(fā)現(xiàn)了被稱為Careto(或者The Mask)的高級(jí)可持續(xù)性威脅(APT)，他們稱這個(gè)網(wǎng)絡(luò)間諜活動(dòng)可追溯到2007年，這可能是受國(guó)家資助的活動(dòng)。

[[108714]]

根據(jù)卡巴斯基實(shí)驗(yàn)室的博客文章顯示，31個(gè)國(guó)家的政府機(jī)構(gòu)、駐外機(jī)構(gòu)和大使館、研究機(jī)構(gòu)、私募股份投資公司、以及能源、石油和天然氣公司都是該APT的目標(biāo)，主要受害者位于摩洛哥，還有一些在美國(guó)和英國(guó)。

雖然所有命令控制服務(wù)器在1月份開始離線，研究人員通過(guò)內(nèi)部開發(fā)的算法在1000多個(gè)IP地址發(fā)現(xiàn)380個(gè)受害者。

因?yàn)椴⒉皇撬忻羁刂品?wù)器都能夠得到分析，研究人員表示實(shí)際受害者人數(shù)可能更高。

Seculert首席技術(shù)官Aviv Raff表示，“攻擊者決定停止這個(gè)攻擊活動(dòng)，大概是因?yàn)樗麄儼l(fā)現(xiàn)他們被監(jiān)控了。鑒于他們從事該活動(dòng)已經(jīng)有七年之久，我相信他們很快會(huì)使用不同的工具和方法繼續(xù)回來(lái)攻擊，瞄準(zhǔn)類似行業(yè)的不同公司。”

研究人員并沒(méi)有透露誰(shuí)為這次攻擊活動(dòng)負(fù)責(zé)，但操作流程的專業(yè)程度讓專家認(rèn)為這是由國(guó)家資助的活動(dòng)。

卡巴斯基高級(jí)安全研究人員Costin Raju表示，“基礎(chǔ)設(shè)施管理、關(guān)閉操作，通過(guò)訪問(wèn)規(guī)則避免引起懷疑，以及使用擦除技術(shù)而不是刪除日志文件。這種操作水平在犯罪團(tuán)伙間并不常見(jiàn)。”

卡巴斯基實(shí)驗(yàn)室研究中心負(fù)責(zé)人Dmitry Bestuzhev認(rèn)為Careto活動(dòng)將會(huì)再次出現(xiàn)，可能以不同的名稱?？ò退够鶎?shí)驗(yàn)室研究人員發(fā)現(xiàn)有人試圖利用卡巴斯基產(chǎn)品以前修復(fù)的漏洞來(lái)使惡意軟件隱身，于是發(fā)現(xiàn)了這個(gè)APT活動(dòng)，這感染著Windows、Mac和Linux用戶，可能還有iOs和Android手機(jī)用戶。

該操作需要受害者點(diǎn)擊魚叉式釣魚郵件中的惡意網(wǎng)站鏈接，該惡意軟件收集加密密鑰、VPN配置、SSH密鑰和RDP文件，以及未知擴(kuò)展名—這可能涉及軍事或政府級(jí)加密。

根據(jù)卡巴斯基實(shí)驗(yàn)室表示，該惡意軟件的檢測(cè)名稱是Trojan.Win32/Win64.Careto.*和Trojan.OSX.Careto。